DarkRadiation Ransomware

DarkRadiation Ransomware说明

DarkRadiation 是一种勒索软件威胁,由网络犯罪分子在针对 Linux 系统的一系列攻击中部署。更具体地说,攻击者旨在感染 Red Hat、CentOS 和基于 Debian 的 Linux 发行版。获得访问权限后,黑客使用 SSH 蠕虫横向移动受害者的网络并部署名为 DarkRadiation 的勒索软件威胁。信息安全研究人员认为,该威胁正在积极开发中,因为他们发现了多个不同的版本。所有这些都显示出细微的行为差异,其中一些还带有死代码(威胁未执行的函数)或威胁创建者的评论。

DarkRadiation Ransomware 是用 bash 脚本编写的,然后通过“node-bash-obsfucated”开源工具进行混淆,该工具是一个 Node.js CLI 实用程序和库。它旨在通过将 bash 脚本拆分为较小的块,然后为其分配变量名称来打乱 bash 脚本。反过来,原始脚本被变量引用替换。一旦传送到目标系统,DarkRadiation 的第一个任务就是检查 root 权限。如果没有它们,勒索软件会显示一条消息,指出“请以 root 身份运行”,然后自行删除。

如果它具有所需的权限,DarkRadiation Ransomware 将继续通过 bot_who 函数和“who”命令创建当前登录 Unix 计算机的用户的快照。结果保存在 /tmp/.ccw 中的隐藏文件中。该过程将每五秒重复一次,威胁将新快照与文件中保存的状态进行比较。任何差异(例如新用户登录)都将通过 Telegrams API 报告给威胁行为者。

加密过程

DarkRadiation Ransomware 采用 OpenSSL 的 AES 算法和 CBC 模式来加密存储在受感染系统上多个目录中的文件。 但是,在启动加密过程之前,威胁会执行另一项任务——它通过查询“/etc/shadow/”文件来检索受攻击机器上所有用户的列表。然后它将用“megapassword”覆盖现有用户的密码。 DarkRadiation 继续删除除“Ferrum”之外的所有用户,这是由威胁本身创建的用户配置文件。通过执行“usermod --shell /bin/nologin”命令,勒索软件会禁用所有现有的 shell 用户。威胁将联系其命令和控制 (C&C) 服务器并查找名为“0.txt”的文件的存在。如果它不存在,DarkRadiation 将不会参与其加密过程,而是会在再次尝试之前进入 60 秒的睡眠。

研究人员注意到检测到的 DarkRadiation 样本所使用的加密路径略有不同。有些人自己执行加密,而其他人则使用名为“crypt_file.sh”的单独脚本。然而,他们都通过在原始文件名后附加一个放射性符号作为新扩展名来标记加密文件。恶意软件会在生成赎金票据之前停止或禁用所有当前活动的 Docker 容器。